DC-2攻略

• 环境搭建

1.1下载靶机并

1.2 使用VMware将其打开，设置网卡为桥接（保证攻击机与靶机在同一网段下）

二、信息收集

1、基础信息收集

2.1 攻击机IP：

192.168.1.15

 

2.2 DC-2：

2.2.1目标有5个flags

2.2.2使用nmap -sP192.168.1.*/24获取段落内的IP地址由分析可知IP为192.168.1.3

2.2.3使用nmap -sV -p- 192.168.1.3对端口进行详细扫描得到信息

 

2.2..4 尝试访问Http://192.168.1.3发现不能正常访问网站会被转移到DC-2上

三、开始渗透

3.1直接修改kali的host文件，将这个域名绑定成靶机的地址（192.168.108.131）之后再次进行尝试vim /etc/hosts

 

3.2 在对IP地址进行访问，发现成功访问，并且获取flag1

 

您通常的单词表可能不起作用，因此，也许您只需要成为 cewl。
更多的密码总是更好，但有时你无法赢得所有密码。
以一个身份登录以查看下一个标志。
如果找不到，请以另一个身份登录。

3.3 使用cewl http://dc-2/ -w passWord.txt制作密码字典

 

3.4 使用 dirsearch -u http://dc-2/ 爆破网站目录，寻找登录界面。

 

3.5 成功找到之后，进行访问http://dc-2/wp-login.PHP

3.6 访问成功后，由于目前只有密码字典，所以还需要使用 wpscan --url http://dc-2/ -e u 枚举 WordPress 站点中注册过的用户名，来制作用户名字典。

 

3.7成功枚举出三个用户名，将这三个用户名写入到一个文件中，作为用户名字典。

 

3.8 使用 wpscan --url http://dc-2/ -U user.txt -P password.txt 调用相关的字典文件对网站进行爆破。

3.9成功爆破出两个用户，尝试使用 jerry:adipiscing 进行登录。

 

3.10 登录成功后，把每个选项都点击一遍试试效果，在 Pages -> All Pages 下发现了 flag2。

 

3.11 获取flag的内容：如果您不能利用 WordPress 并走捷径，还有另一种方法。希望你找到另一个切入点。

 

• 漏洞利用

4.1根据 flag2 中的内容，想到了在信息收集阶段中扫描出的 ssh 服务，并且当前我们知道两对用户名和密码，所以分别使用 ssh jerry/tom@192.168.1.3 -p 7744 尝试登录。

 

4.2 登录成功，使用 whoami 查看当前权限，发现rbash，被限制shell可以考虑进行rbash绕过

 

4.3 查看浏览当前目录

 

4.4使用 cat flag3.txt 进行查看，发现无法使用该命令，所以尝试使用 vim 或 vi 进行查看。

 

4.5 使用 vi 查看成功，观察 flag3 中的内容，发现文本中包含 Jerry 和 su ，所以猜测需要使用 su jerry 登录到 jerry 用户下，尝试后发现 su 命令无法使用，所以下一步尝试进行 rbash 绕过。

 

可怜的老汤姆总是追着杰瑞跑。 也许他应该为他造成的所有压力感到不安。

4.6 绕过rbash

 

4.7 尝试链接jerry

 

4.8 尝试在jerry中找到flag4

 

4.9 读取flag4

 

很高兴看到你已经走到了这一步——但你还没有回家。
您仍然需要获得最终标志（唯一真正重要的标志！！！）。
这里没有任何提示——你现在就靠你自己了。
继续 - 离开这里！！！！

4.9 现在不是root用户现在需要得到root用户完成最终flag发现可以使用git

 

4.10 git提权得到root权限

 

4.11 在root权限下得到最后flag

 

• 总结

使用 nmap 找寻并扫描靶机。

使用 dirsearch 爆破网站目录。

使用 cewl 制作字典。

使用 wpscan 对 WordPress 站点进行扫描和爆破。

rbash 绕过

sudo 提权

git 提权

来源地址：https://blog.csdn.net/weixin_43179779/article/details/127348969